Tangan Riset Keamanan Apple Detail kesalahan gantungan kunci
Linus Henze mengumumkan Apple semua detail mengenai bug yang dia temukan di perangkat lunak keamanan MacOS Keychain dan melakukannya tanpa pembayaran dari perusahaan. Sebelumnya, dia menyembunyikan informasi ini untuk memprotes kurangnya Bug Bounty untuk Mac, tetapi sekarang dia mengatakan bahwa masalah ini terlalu penting untuk disimpan sendiri.
Remaja Jerman Linus Henze mengirim Apple perincian lengkap dari eksploitasi keamanan Keychain yang dia tunjukkan pada awal Februari dan melakukannya meskipun perusahaan mengabaikan kondisi sebelumnya. Henze mengatakan bahwa dia memutuskan untuk mengungkapkan detailnya kepada Apple karena bug yang dia temukan “sangat serius dan karena keamanan pengguna macOS penting bagi saya.”
Saya memutuskan untuk mengirimkan penambangan gantungan kunci saya ke @Apple, meskipun mereka tidak bereaksi, karena ini penting dan karena keamanan pengguna macOS penting bagi saya. Saya mengirimi mereka detail lengkap termasuk tambalannya. Gratis tentunya.
Remaja berusia 18 tahun itu menemukan bug macOS yang memungkinkan aplikasi melihat kata sandi yang terdapat dalam fitur keamanan Keychain Mojave. Dia mengembangkan aplikasi yang dia sebut KeySteal untuk mendemonstrasikannya, tetapi awalnya menolak pengumuman tersebut. Apple. Henze keberatan dengan fakta bahwa Apple tidak ada program Bug Bounty untuk macOS seperti halnya untuk iOS.
“Saya siap untuk segera mengirimkan semua detailnya – termasuk patchnya,” katanya dalam email ke perusahaan pada Februari. Apple perwakilan mengirimi saya alasan formal (dan masuk akal!) Apple tidak memiliki atau ingin membuat program Bug Bounty untuk macOS. “
Apple menghubungi Henze untuk menanyakan tentang penemuannya, tetapi tidak membahas klaimnya. Di bulan Februari. 8, dia mengirim email lagi, menyatakan kondisinya lagi, tetapi sepertinya tidak mendapat tanggapan.
Belum ada laporan eksploitasi yang digunakan oleh aplikasi berbahaya, tetapi AppleInsider menjelaskan bahwa pengguna yang terlibat dapat memastikan keamanan mereka dengan menambahkan kata sandi tambahan ke gantungan kunci login.
Ketika Apple ada program Bug Bounty untuk peneliti yang menemukan masalah keamanan di iOS, bahkan disebut pelit dibandingkan dengan perusahaan lain.
Sumber: appleinsider
